ISACA

Considere una empresa comercial que entre sus procesos tiene los de Facturación y Cobranza. La empresa dispone de sistemas de información para soportar las operaciones de los dos procesos antes mencionados. La Junta Directiva de la empresa quiere conocer si los aplicativos y los ambientes de sistemas de aplicación sensitivos y críticos, que incluyen información contable, financiera y gerencial; proveen información con características de confiabilidad, eficiencia, integridad, confidencialidad y disponibilidad, para ello contratan a si firma de Auditoría Externa que tiene un equipo de Auditores en Tecnología.

Se solicita:

1. Determinar los pasos de alto nivel que realizaría para la correcta realización de la actividad solicitada, hasta la entrega del reporte final.

2. Para cada uno de los 2 procesos expuestos identificar y describir al menos un objetivo de control relacionado a sistemas de información y otro no relacionado.

3. De los objetivos de control identificados en (2) describir 2 controles internos para cada uno, e indicar de que tipo de control se trata (preventivo, detectivo, correctivo) (serían entonces 8 controles).

4. Desarrollar objetivos detallados de la auditoría de sistemas de información (al menos 5 objetivos)

Ejemplo: Garantizar la disponibilidad de los recursos y la información tecnológica dentro de ……..

Asegurar que las modificaciones que se hagan a los sistemas se encuentren debidamente autorizadas y se pueda identificar a la persona que las realizó.

Asegurar que únicamente las personas autorizadas tienen acceso a la información importante de la empresa.

5. Identificar al menos 2 riesgos de cada uno de los 2 procesos en términos de afectación al negocio.

Ejemplos: Para el proceso de facturación, riesgos como la negación de servicio por saturación al momento de pasar la fecha de las facturas está presente todo el tiempo. Esto tiene problemas para la empresa principalmente por parte de los clientes que no estarán conformes si las facturas no tienen fecha. Por otro lado el que las facturas estén saliendo mal debido a las promociones es un riesgo para la empresa ya que dentro de las promociones se puede estar manejando información obsoleta o inservible y por ende los saldos no están coincidiendo.

En el proceso de cobranza: El no contar, con procedimientos para asegurar que la información que tienen en sus bases de datos para el portal de internet se encuentre segura puede ocasionar que exista pérdida de información, fugas y robos, lo que conlleva a que la información pueda caer en manos erróneas ocasionándole a la empresa problemas de tipo moral, económico y legal.

6. Para cada uno de los riesgos identificados en (3) proponer controles internos para mitigar los riesgos.

Ejemplo:

Proceso de facturación:

Documentar los distintos descuentos, validez y restricciones.

Revisión doble de los registros de las facturas para evitar errores.

Aseguramiento del correcto funcionamiento del sistema que genera las facturas.

Proceso de cobranza:

Asegurar que existe una política de seguridad y privacidad de los datos.

Revisión de las políticas y sistemas de acceso a usuarios.

7. Diseñar pruebas de alto nivel (una o dos) de cumplimento y substantivas para cada control interno propuesto.

Ejemplo:

Para los procesos de facturación, seleccionar una semana y obtener la lista de descuentos que se tiene con las restricciones y vigencia, posteriormente utilizar crear una factura para probar si el control está funcionando y las reglas han sido introducidas correctamente a los sistemas. Por medio de esa prueba se puede verificar que no haya errores en las facturas y que el sistema esté trabajando

...